Trojaner-Board - Diverse Vieren und Maleware

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Diverse Vieren und Maleware (https://www.trojaner-board.de/57851-diverse-vieren-maleware.html)

Diverse Vieren und Maleware

Hallo,
ich hab wieder mal einen Total verseuchten Rechner bekommen.
(Angefangen hat es mit einer Sprechblase in der Taskleiste: Winows has detected...." einem roten Kreis mit weißem Kreuz)
Vieles konnte ich mit Malewarebyts und diversen Viren-Programmen schon entfernen.

Jetzt möchte ich um eure Hilfe bitten.
Vielleicht findet ihr noch was im Hijak-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:28:11, on 14.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Aspire Arcade\PCMService.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\CtrlVol.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\ComCenter\IWatch.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3858BD-7F63-4F65-92E4-2FCDA0D3C53C}: NameServer = 192.168.121.252,192.168.121.253

O20 - AppInit_DLLs: karina.dat

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 4884 bytes

Ich bedanke mich schon vorab für eure Hilfe.

Viele Grüße

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Registry values to replace with dummy: 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 
 

Files to delete:

C:\windows\system32\karina.dat

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach bitte combofix laufen lassen und log posten...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Danke Chris

Hier die Logs:

Avenger

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  file "C:\windows\system32\karina.dat" not found!

Deletion of file "C:\windows\system32\karina.dat" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Combofix

Code:

ComboFix 08-08-13.02 - Besitzer 2008-08-14 12:52:19.1 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.293 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\Temp\log.txt
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-07-14 bis 2008-08-14  ))))))))))))))))))))))))))))))

.
 

2008-08-14 09:29 . 2008-08-14 09:29        <DIR>        d--------        C:\Programme\Avira

2008-08-14 09:29 . 2008-08-14 09:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-08-14 08:58 . 2004-08-04 05:00        4,224        --a------        C:\WINDOWS\system32\drivers\beep.sys

2008-08-14 08:58 . 2004-08-04 05:00        4,224        --a------        C:\WINDOWS\system32\dllcache\beep.sys

2008-08-14 08:45 . 2008-08-14 08:45        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-08-14 08:45 . 2008-08-14 08:45        <DIR>        d--------        C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes

2008-08-14 08:45 . 2008-08-14 08:45        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-08-14 08:45 . 2008-07-30 20:07        38,472        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-08-14 08:45 . 2008-07-30 20:07        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-08-07 09:02 . 2008-08-07 09:02        <DIR>        d--hs----        C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\wsnpoem

2008-08-07 08:58 .         30,720                C:\WINDOWS\system32\drivers\Beh71.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\dllcache\mswsock.dll

2008-06-20 17:39        148,992        ----a-w        C:\WINDOWS\system32\dllcache\dnsapi.dll

2008-06-20 10:45        360,320        ----a-w        C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 10:45        360,320        ----a-w        C:\WINDOWS\system32\dllcache\tcpip.sys

2008-06-20 10:44        138,368        ----a-w        C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 10:44        138,368        ----a-w        C:\WINDOWS\system32\dllcache\afd.sys

2008-06-20 09:52        225,920        ----a-w        C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-20 09:52        225,920        ----a-w        C:\WINDOWS\system32\dllcache\tcpip6.sys

2008-06-14 17:57        273,024        ------w        C:\WINDOWS\system32\drivers\bthport.sys

2008-06-14 17:57        273,024        ------w        C:\WINDOWS\system32\dllcache\bthport.sys

2003-01-21 01:00        13,095,560        ----a-r        C:\WINDOWS\system32\config\systemprofile\MpSetup.exe

2003-01-21 01:00        13,095,560        ----a-r        C:\Dokumente und Einstellungen\Gast\MpSetup.exe

2003-01-21 01:00        13,095,560        ----a-r        C:\Dokumente und Einstellungen\Default User\MpSetup.exe

2003-01-21 01:00        13,095,560        ------r        C:\Dokumente und Einstellungen\Besitzer\MpSetup.exe

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"preload"="C:\Windows\RUNXMLPL.exe" [2004-04-20 16:49 40960]

"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576]

"PCMService"="C:\Program Files\Aspire Arcade\PCMService.exe" [2004-03-25 18:41 81920]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-07-13 14:48 4141056]

"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2004-08-06 14:04 32768]

"PowerKey"="C:\Program Files\Launch Manager\PowerKey.exe" [2002-08-30 15:02 94208]

"LManager"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2004-07-15 17:24 49152]

"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2004-01-28 17:48 184320]

"LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" [2004-09-08 11:28 245760]

"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2004-08-13 22:40 73728]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-05-20 20:21 90112]

"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 22:32 53248]

"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-14 11:39 266497]

"VTTimer"="VTTimer.exe" [2004-07-13 09:57 53248 C:\WINDOWS\system32\VTTimer.exe]

"VTTrayp"="VTtrayp.exe" [2004-06-22 02:57 143360 C:\WINDOWS\system32\VTTrayp.exe]

"nwiz"="nwiz.exe" [2004-07-13 14:48 880640 C:\WINDOWS\system32\nwiz.exe]

"AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 11:22 88363 C:\WINDOWS\AGRSMMSG.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

ISDNWatch.lnk - C:\Programme\ComCenter\IWatch.exe [2006-08-25 13:36:13 229376]

Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Beh71.sys]

@="Driver"
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\System32\\lexpps.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

R0 Beh71;Beh71;C:\WINDOWS\system32\Drivers\Beh71.sys []

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]

R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 17:52]

R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-11-29 01:00]

R3 IPN2220;acer IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-03-29 17:23]

R3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [2003-11-03 11:58]

R3 POWERKEY;POWERKEY;C:\Program Files\Launch Manager\POWERKEY.sys [2000-12-19 18:29]

S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []

S3 FXUSBASE;Eumex 400 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-11-29 01:00]

S3 naecd;naecd;C:\DOKUME~1\Besitzer\LOKALE~1\Temp\naecd.sys []
 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

*Newly Created Service* - SSMDRV

.

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\5dj6f0jm.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
 
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-14 12:54:05

Windows 5.1.2600 Service Pack 2 FAT NTAPI
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  MMTray = C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe?????w???g????V??g????SOFTWARE\MusicMatch\MusicMatch Jukebox\4.0\TrayApp??????? ?w?????????????\?wp ?w???????w???g???????????g?RY??QY????????g????2???????$???8???? @??%X??%X?????????????????x?Y?????^?Q????? 
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-08-14 12:54:29

ComboFix-quarantined-files.txt  2008-08-14 10:54:28
 

Pre-Run: 28 Verzeichnis(se), 25,422,495,744 Bytes frei

Post-Run: 32 Verzeichnis(se), 26,641,858,560 Bytes frei
 

134        --- E O F ---        2008-07-09 07:30:21

und Hijackthis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:55:59, on 14.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Aspire Arcade\PCMService.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\CtrlVol.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\ComCenter\IWatch.exe

C:\Acer\eManager\anbmServ.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3858BD-7F63-4F65-92E4-2FCDA0D3C53C}: NameServer = 192.168.121.252,192.168.121.253

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 5446 bytes

Bitte folgende Files prüfen (nur zur Sicherheit):

Zitat:

C:\WINDOWS\system32\drivers\beep.sys
C:\Windows\RUNXMLPL.exe
C:\WINDOWS\system32\drivers\Beh71.sys
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\naecd.sys
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste jeweils das Ergebnis mit Filename;

Eins macht mich etwas stutzig:
*Newly Created Service* - SSMDRV
Der Service wird aber nicht gelistet...?
Hast Du da schon was entfernt?

Bitte noch MBR-Rootkitsuche:
Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

beep.sys:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.8.13.0        2008.08.14        -

AntiVir        7.8.1.19        2008.08.14        -

Authentium        5.1.0.4        2008.08.14        -

Avast        4.8.1195.0        2008.08.14        -

AVG        8.0.0.161        2008.08.14        -

BitDefender        7.2        2008.08.14        -

CAT-QuickHeal        9.50        2008.08.14        -

ClamAV        0.93.1        2008.08.14        -

DrWeb        4.44.0.09170        2008.08.14        -

eSafe        7.0.17.0        2008.08.14        -

eTrust-Vet        31.6.6032        2008.08.14        -

Ewido        4.0        2008.08.14        -

F-Prot        4.4.4.56        2008.08.14        -

Fortinet        3.14.0.0        2008.08.14        -

GData        2.0.7306.1023        2008.08.14        -

Ikarus        T3.1.1.34.0        2008.08.14        -

K7AntiVirus        7.10.413        2008.08.13        -

Kaspersky        7.0.0.125        2008.08.14        -

McAfee        5360        2008.08.13        -

Microsoft        1.3807        2008.08.14        -

NOD32v2        3356        2008.08.14        -

Norman        5.80.02        2008.08.13        -

Panda        9.0.0.4        2008.08.13        -

PCTools        4.4.2.0        2008.08.14        -

Rising        20.57.32.00        2008.08.14        -

Sophos        4.32.0        2008.08.14        -

Sunbelt        3.1.1542.1        2008.08.13        -

Symantec        10        2008.08.14        -

TheHacker        6.3.0.3.046        2008.08.13        -

TrendMicro        8.700.0.1004        2008.08.14        -

ViRobot        2008.8.14.1337        2008.08.14        -

VirusBuster        4.5.11.0        2008.08.14        -

Webwasher-Gateway        6.6.2        2008.08.14        -

weitere Informationen

File size: 4224 bytes

MD5...: da1f27d85e0d1525f6621372e7b685e9

SHA1..: e3d2dc5eb273fa701de8af13b60d6baac7629260

SHA256: 5a81a46a3bdd19dafc6c87d277267a5d44f3a1b5302f2cc1111d84b7bad5610d

SHA512: 8b8a95965ccaf51d578c2dd761abfc750fe464360e8244e5a06c2089586ac6fd

e2989e3ab7cc8b28a034c8c9fdba69c2641730674ca55d172d0d1a3e7e53fa8b

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x1066c

timedatestamp.....: 0x3b7d82e5 (Fri Aug 17 20:47:33 2001)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x300 0x424 0x480 5.77 64f775a399d212649b5b58a280791c2d

.rdata 0x780 0xad 0x100 2.62 0ace5f365131534c66de4137833221ad

INIT 0x880 0x284 0x300 4.44 13a9d0bea8490140305ffa9291acfd99

.rsrc 0xb80 0x3c8 0x400 3.22 9b654fc1759147ff04b147754f347be4

.reloc 0xf80 0x9a 0x100 2.80 5c4742feb834ca0995d1e806fe06cc57
 

( 2 imports )

> ntoskrnl.exe: MmLockPagableDataSection, KeCancelTimer, MmUnlockPagableImageSection, IoStartNextPacket, KeSetTimer, _allmul, IoStartPacket, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, IoCreateDevice, RtlInitUnicodeString, IoAcquireCancelSpinLock, KeRemoveDeviceQueue, KeRemoveEntryDeviceQueue, IoReleaseCancelSpinLock, IoDeleteDevice, IofCompleteRequest

> HAL.dll: ExReleaseFastMutex, KfRaiseIrql, KfLowerIrql, HalMakeBeep, ExAcquireFastMutex
 

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=da1f27d85e0d1525f6621372e7b685e9

RUNMLPL.exe:

Code:


 

AhnLab-V3        2008.8.13.0        2008.08.14        -

AntiVir        7.8.1.19        2008.08.14        -

Authentium        5.1.0.4        2008.08.14        -

Avast        4.8.1195.0        2008.08.14        -

AVG        8.0.0.161        2008.08.14        -

BitDefender        7.2        2008.08.14        -

CAT-QuickHeal        9.50        2008.08.14        -

ClamAV        0.93.1        2008.08.14        -

DrWeb        4.44.0.09170        2008.08.14        -

eSafe        7.0.17.0        2008.08.14        -

eTrust-Vet        31.6.6032        2008.08.14        -

Ewido        4.0        2008.08.14        -

F-Prot        4.4.4.56        2008.08.14        -

F-Secure        7.60.13501.0        2008.08.14        -

Fortinet        3.14.0.0        2008.08.14        -

GData        2.0.7306.1023        2008.08.14        -

Ikarus        T3.1.1.34.0        2008.08.14        -

K7AntiVirus        7.10.413        2008.08.13        -

Kaspersky        7.0.0.125        2008.08.14        -

McAfee        5360        2008.08.13        -

Microsoft        1.3807        2008.08.14        -

NOD32v2        3356        2008.08.14        -

Norman        5.80.02        2008.08.13        -

Panda        9.0.0.4        2008.08.13        -

PCTools        4.4.2.0        2008.08.14        -

Prevx1        V2        2008.08.14        -

Rising        20.57.32.00        2008.08.14        -

Sophos        4.32.0        2008.08.14        -

Sunbelt        3.1.1542.1        2008.08.13        -

Symantec        10        2008.08.14        -

TheHacker        6.3.0.3.046        2008.08.13        -

TrendMicro        8.700.0.1004        2008.08.14        -

VBA32        3.12.8.3        2008.08.14        -

ViRobot        2008.8.14.1337        2008.08.14        -

VirusBuster        4.5.11.0        2008.08.14        -

Webwasher-Gateway        6.6.2        2008.08.14        -

weitere Informationen

File size: 40960 bytes

MD5...: f8952d66674683e3763d4ac930d3c3c1

SHA1..: 5b05e47cc21b4ddaf2a18ddf86800f9cb6b6c687

SHA256: eb60a86b360238458679adff55796670a436653d95b9eb1beed4d2feb6a5c23a

SHA512: 79f799322c216024a5dd0670fdfbf64b6228618dd0ac65aa3d138f3a98194ea3

df34aaa1d54c9dab6904405142b3c2694572a37efcabeb8bf0f48c8dc88d8b37

PEiD..: InstallShield 2000

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x401180

timedatestamp.....: 0x4084e430 (Tue Apr 20 08:49:52 2004)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x3f06 0x4000 6.41 893a232d05d6e114e3ebef9ef79c40de

.rdata 0x5000 0x842 0x1000 3.33 e2b1dc12fce1ce74aa2ca289284881a6

.data 0x6000 0x3e38 0x3000 0.54 ad3cafda23ae58fb694e5fb31615cb78

.rsrc 0xa000 0x3a0 0x1000 0.95 143ee03b10b79ad9c1cbf63297646b84
 

( 1 imports )

> KERNEL32.dll: GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, WriteFile, GetLastError, SetFilePointer, HeapFree, HeapAlloc, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, VirtualAlloc, GetProcAddress, LoadLibraryA, SetStdHandle, FlushFileBuffers, CloseHandle
 

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=f8952d66674683e3763d4ac930d3c3c1

Beh71.sys:
Kann niht gesendet werden
"0 Bytes permited"

naecd.sys:
Nicht mehr vorhanden

mm_tray.exe:

Code:

AhnLab-V3        2008.8.13.0        2008.08.14        -

AntiVir        7.8.1.19        2008.08.14        -

Authentium        5.1.0.4        2008.08.14        -

Avast        4.8.1195.0        2008.08.14        -

AVG        8.0.0.161        2008.08.14        -

BitDefender        7.2        2008.08.14        -

CAT-QuickHeal        9.50        2008.08.14        -

ClamAV        0.93.1        2008.08.14        -

DrWeb        4.44.0.09170        2008.08.14        -

eSafe        7.0.17.0        2008.08.14        -

eTrust-Vet        31.6.6032        2008.08.14        -

Ewido        4.0        2008.08.14        -

F-Prot        4.4.4.56        2008.08.14        -

F-Secure        7.60.13501.0        2008.08.14        -

Fortinet        3.14.0.0        2008.08.14        -

GData        2.0.7306.1023        2008.08.14        -

Ikarus        T3.1.1.34.0        2008.08.14        -

K7AntiVirus        7.10.413        2008.08.13        -

Kaspersky        7.0.0.125        2008.08.14        -

McAfee        5360        2008.08.13        -

Microsoft        1.3807        2008.08.14        -

NOD32v2        3356        2008.08.14        -

Norman        5.80.02        2008.08.13        -

Panda        9.0.0.4        2008.08.13        -

PCTools        4.4.2.0        2008.08.14        -

Prevx1        V2        2008.08.14        -

Rising        20.57.32.00        2008.08.14        -

Sophos        4.32.0        2008.08.14        -

Sunbelt        3.1.1542.1        2008.08.13        -

TheHacker        6.3.0.3.046        2008.08.13        -

TrendMicro        8.700.0.1004        2008.08.14        -

VBA32        3.12.8.3        2008.08.14        -

ViRobot        2008.8.14.1337        2008.08.14        -

VirusBuster        4.5.11.0        2008.08.14        -

Webwasher-Gateway        6.6.2        2008.08.14        -

weitere Informationen

File size: 90112 bytes

MD5...: 9a8e5ba07cba9b2d9991abdb0e2e5a35

SHA1..: 709901bf4f1306f248d96c713e151014e7ba9c6b

SHA256: f0fafa1efb3d28b9670971db264517df0bbbf3e743b65c829a0b812137579505

SHA512: 2cc984284681da97398899ff42c779d5d0e04ba17225b1a0d0795755dd336977

a88b5a84b31ae931c7fde9ff9fb72e190d15d9e4b0c5bded0daeedbe39ca5d80

PEiD..: Armadillo v1.71

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x4095f6

timedatestamp.....: 0x3ce9bb92 (Tue May 21 03:14:26 2002)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x88e4 0x9000 5.87 e4c5f2ebd08bbee4003ac55e6c463c3f

.rdata 0xa000 0x192c 0x2000 4.67 11e2d08244ff543e7cf77aba4c1f7720

.data 0xc000 0x19ac 0x1000 4.47 2229918d31eed059d362a46ddcf41054

.rsrc 0xe000 0x8248 0x9000 2.85 dbbc16f3bc401cfa6507771dc28a45c3
 

( 9 imports )

> KERNEL32.dll: FreeLibrary, GetProcAddress, SystemTimeToFileTime, GetModuleHandleA, GetSystemTime, SetEnvironmentVariableA, OutputDebugStringA, GetShortPathNameA, LoadLibraryA, FormatMessageA, LocalFree, GetVersionExA, CreateMutexA, GetLastError, ReleaseMutex, CloseHandle, GetEnvironmentVariableA, GlobalAlloc, CreateProcessA, GlobalFree, MultiByteToWideChar, FindResourceExA, LoadResource, WideCharToMultiByte, GetStartupInfoA

> USER32.dll: EnableMenuItem, GetCursorPos, MoveWindow, BringWindowToTop, CheckRadioButton, IsDlgButtonChecked, GetClientRect, GetParent, CharUpperA, LoadImageA, GetDesktopWindow, DestroyWindow, DefWindowProcA, PostQuitMessage, RegisterWindowMessageA, UpdateWindow, LoadIconA, LoadCursorA, RegisterClassExA, LoadAcceleratorsA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, GetSysColor, GetSystemMetrics, SetMenuItemInfoA, GetMenuItemCount, GetMenuItemID, InsertMenuA, GetWindowRect, EnableWindow, SetForegroundWindow, TrackPopupMenu, PostMessageA, DestroyMenu, LoadMenuA, GetSubMenu, GetMenuStringA, SetWindowLongA, MessageBeep, CallWindowProcA, DialogBoxParamA, InvertRect, LoadStringA, GetDlgItem, ReleaseDC, ScreenToClient, CreateWindowExA, SendMessageA, ShowWindow, GetDC, SendDlgItemMessageA, EndDialog, KillTimer, SetTimer, MessageBoxA

> GDI32.dll: GetTextMetricsA, DeleteObject, ExtTextOutA, PatBlt, SetBkColor, SetTextColor, SelectObject, CreateFontIndirectA, GetObjectA, GetTextExtentPoint32A, TextOutA, GetStockObject

> comdlg32.dll: GetOpenFileNameA

> ADVAPI32.dll: RegSetValueExA, RegCloseKey, RegQueryValueExA, RegCreateKeyExA, RegOpenKeyExA, RegCreateKeyA

> SHELL32.dll: Shell_NotifyIconA, ShellExecuteA, DragQueryFileA, DragAcceptFiles, DragFinish

> COMCTL32.dll: InitCommonControlsEx

> MSVCP60.dll: __Split@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXXZ, _find@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEIPBGII@Z, __Eos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXI@Z, __Xlen@std@@YAXXZ, __Grow@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAE_NI_N@Z, __Xran@std@@YAXXZ, _assign@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@PBGI@Z, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@ABV_$allocator@G@1@@Z, _find@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEIABV12@I@Z, _replace@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@IIABV12@II@Z, _append@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@PBGI@Z, __Tidy@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEX_N@Z, __Freeze@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXXZ, _erase@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@II@Z, _append@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@IG@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, _resize@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEXI@Z, _assign@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@ABV12@II@Z, __C@_1___Nullstr@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@CAPBGXZ@4GB, _c_str@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEPBGXZ, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ

> MSVCRT.dll: strcat, sprintf, __getmainargs, _controlfp, __setusermatherr, _initterm, __p__fmode, _mbsnbcpy, _XcptFilter, _acmdln, exit, _exit, free, _except_handler3, strcpy, strlen, localtime, time, __2@YAPAXI@Z, __CxxFrameHandler, wcslen, memset, wcsncpy, _mbscmp, _mbsncmp, fclose, fgetc, fopen, fprintf, __p__commode, _adjust_fdiv, __set_app_type
 

( 5 exports )

_GetStringFromID@DMMLocalizeDll@@QAEHIPAPAD@Z, _MMJB_MultiByteToWideChar@DMMLocalizeDll@@QAEHPBDHPAGH@Z, _MMJB_WideCharToMultiByte@DMMLocalizeDll@@QAEHPBGHPADH@Z, _uCodePage@_1__MMJB_MultiByteToWideChar@DMMLocalizeDll@@QAEHPBDHPAGH@Z@4IA, _uCodePage@_1__MMJB_WideCharToMultiByte@DMMLocalizeDll@@QAEHPBGHPADH@Z@4IA

mbr-Log:
zeigt nichts auffälliges an, sieht genau so aus, wie du's beschrieben hattest.

Hi,

Okay (hatte ich eigentlich erwartet, darum das nur "zur Sicherheit").

Hmm, allerdings ist die karina.dat nicht gefunden worden, obwohl sie angezeigt wurde im Log.... das Gleiche gilt für die Beh71.sys und naecd.sys:
(Oder war das Log veraltet?). Kontrollieren wir also ob sie jetzt tatsächlich weg sind, wenn nicht wird es interessant ;o)

Abschließend daher noch ein ComboFix-Lauf (wegen Systeminformationen), da DSS z. Z. einige "Probleme" hat...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Danke Chris,

den Rechner musste ich der Betreffenden Person vorerst wiedergeben, da er noch einiges daran erledigen musst.
Aber nach dem ich die die aktuellste Version von Avira, Malewarebyt und was ich jetzt alles hatte, und diese nichts mehr gefunden haben, bin ich vorerst voller Hoffnung, dass alles weg ist.

Ich hoffe, dass ich morgen nochmal an den Rechner komme, um Combofix nochmals drüber laufen zu lassen.

Vorerst vielen Dank und viele Grüße